Các ứng dụng Mobile Banking không được có chức năng ghi nhớ mật khẩu từ đầu năm 2025 đúng không?

Nội dung chính

• Các ứng dụng Mobile Banking không được có chức năng ghi nhớ mật khẩu từ đầu năm 2025 đúng không?
• Xác nhận đối với giao dịch thanh toán trực tuyến thế nào?
• Quy định về hình thức xác nhận khớp đúng thông tin sinh trắc học trong giao dịch trực tuyến thế nào?

Các ứng dụng Mobile Banking không được có chức năng ghi nhớ mật khẩu từ đầu năm 2025 đúng không?

Căn cứ tại Điều 8 Thông tư 50/2024/TT-NHNN có quy định về phần mềm ứng dụng Mobile Banking như sau:

Phần mềm ứng dụng Mobile Banking do đơn vị cung cấp phải bảo đảm tuân thủ các quy định tại Điều 7 Thông tư 50/2024/TT-NHNN và các yêu cầu sau đây:

- Phải được đăng ký và quản lý tại kho ứng dụng chính thức của hãng cung cấp hệ điều hành cho thiết bị di động và hướng dẫn cài đặt rõ ràng trên trang tin điện từ đơn vị để khách hàng tải và cài đặt phần mềm ứng dụng Mobile Banking.

Trường hợp vì lý do khách quan mà phần mềm ứng dụng Mobile Banking không được đăng ký và quản lý tại kho ứng dụng chỉnh thức của hãng cung cấp hệ điều hành cho thiết bị di động, đơn vị phải có phương thức hướng dẫn, thông báo, hỗ trợ cài đặt phần mềm ứng dụng Mobile Banking bảo đảm an toàn, bảo mật cho khách hàng và báo cáo về Ngân hàng Nhà nước (Cục Công nghệ thông tin) trước khi cung cấp dịch vụ.

- Phải được áp dụng các biện pháp bảo vệ để hạn chế dịch ngược mã nguồn.

- Có biện pháp bảo vệ, chống can thiệp vào luồng trao đổi dữ liệu trên ứng dụng Mobile Banking và giữa ứng dụng Mobile Banking với máy chủ cung cấp dịch vụ Online Banking.

- Triển khai các giải pháp nhằm phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trong thiết bị di động của khách hàng.

- Không cho phép chức năng ghi nhớ mã khóa bí mật truy cập.

- Đối với khách hàng cá nhân, phái có chức năng kiểm tra khách hàng khi khách hàng truy cập lần đầu hoặc khi khách hàng truy cập trên thiết bị khác với thiết bị đã truy cập phần mềm ứng dụng Mobile Banking lần gần nhất. Việc kiểm tra khách hàng tối thiểu bao gồm:

+ Khớp đúng SMS OTP hoặc Voice OTP thông qua số điện thoại đã được khách hàng đăng ký hoặc Soft OTP/Token OTP;

+ Khớp đúng thông tin sinh trắc học theo quy định tại khoản 5 Điều 11 Thông tư 50/2024/TT-NHNN trong trường hợp văn bản pháp luật chuyên ngành liên quan đến dịch vụ cung cấp trên phần mềm ứng dụng Mobile Banking có quy định thu thập, lưu trữ thông tin sinh trắc học của khách hàng.

Theo đó, kể từ ngày Thông tư 50/2024/TT-NHNN có hiệu lực thi hành, các ứng dụng Mobile Banking không được phép có chức năng ghi nhớ mã khóa bí mật (password) khi truy cập.

Các ứng dụng Mobile Banking không được có chức năng ghi nhớ mật khẩu từ đầu năm 2025 đúng không? (Hình từ internet)

Xác nhận đối với giao dịch thanh toán trực tuyến thế nào?

Căn cứ tại điểm a khoản 1 Điều 10 Thông tư 50/2024/TT-NHNN có quy định về xác nhận đối với giao dịch thanh toán trực tuyến như sau:

- Đối với giao dịch thanh toán sử dụng tải khoản thanh toán hoặc ví điện tử hoặc giao dịch chuyển tiền từ thẻ ghi nợ, thẻ trả trước định danh, đơn vị thực hiện phân loại giao dịch theo các nhóm loại hình giao dịch quy định tại Phụ lục 01 ban hành kèm theo Thông tư 50/2024/TT-NHNN và áp dụng hình thức xác nhận quy định tại Phụ lục 02 ban hành kèm theo Thông tư 50/2024/TT-NHNN, trừ quy định tại điểm b, điểm c, điểm d và điểm đ khoản 1 Điều 10 Thông tư 50/2024/TT-NHNN;

- Đối với giao dịch thanh toán thực hiện bằng phương thức xử lý xuyên suốt, đơn vị thực hiện xác nhận giao dịch tối thiểu bằng một trong các hình thức xác nhận quy định tại khoản 7, khoản 8, khoản 9 Điều 11 Thông tư 50/2024/TT-NHNN;

- Đối với các giao dịch thanh toán thẻ trực tuyến (không bao gồm giao dịch chuyển tiền), đơn vị thực hiện phân loại giao dịch theo các nhóm loại hình giao dịch quy định tại Phụ lục 03 ban hành kèm theo Thông tư 50/2024/TT-NHNN và áp dụng các hình thức xác nhận quy định tại Phụ lục 04 ban hành kèm theo Thông tư 50/2024/TT-NHNN;

- Đối với các giao dịch mà đơn vị chủ động trích Nợ tài khoản thanh toán, chủ động trích Nợ ví điện tử, chủ động thanh toán tử thẻ của khách hàng theo thỏa thuận với khách hàng, không phải áp dụng xác nhận giao dịch quy định tại điểm a, điểm c khoản 1 Điều 10 Thông tư 50/2024/TT-NHNN;

- Đối với các giao dịch thanh toán trực tuyến trên Cổng Dịch vụ công quốc gia, nộp tiền vào ngân sách nhà nước, không bắt buộc phải áp dụng xác nhận giao dịch quy định tại điểm a, điểm c khoản 1 Điều 10 Thông tư 50/2024/TT-NHNN.

Quy định về hình thức xác nhận khớp đúng thông tin sinh trắc học trong giao dịch trực tuyến thế nào?

Căn cứ tại khoản 5 Điều 11 Thông tư 50/2024/TT-NHNN có quy định xác nhận khớp đúng thông tin sinh trắc học là việc đối chiếu, so sánh để bảo đảm trùng khớp thông tin sinh trắc học của khách hàng đang thực hiện giao dịch với thông tin sinh trắc học của khách hàng đã thu thập, lưu trữ tại đơn vị theo quy định của Thống đốc Ngân hàng Nhà nước.

Hình thức khớp đúng thông tin sinh trắc học phải đáp ứng tối thiểu yêu cầu sau đây:

- Trường hợp áp dụng hình thức khớp đúng thông tin sinh trắc học sử dụng khuôn mặt:

+ Có độ chính xác được xác định theo tiêu chuẩn quốc tế như sau (hoặc tương đương): Có tỷ lệ từ chối sai < 5% với tỷ lệ chấp nhận sai < 0,01% theo tiêu chuẩn FIDO Biometric Requirement (áp dụng đối với tập mẫu tối thiểu 10.000 mẫu);

+ Có khả năng phát hiện tấn công giả mạo thông tin sinh trắc học của vật thể sống (Presentation Attack Detection - PAD) dựa trên các tiêu chuẩn quốc tế (như NIST Special Publication 800-63B Digital Identity Guidelines: Authentication and Lifecycle Management hoặc ISO 30107 Biometric presentation attack detection hoặc FIDO Biometric Requirements) để phòng, chống gian lận, giả mạo khách hàng qua hình ảnh, video, mặt nạ 3D.

- Trường hợp áp dụng các hình thức khớp đúng thông tin sinh trắc học khác, phải bảo đảm phòng, chống gian lận, giả mạo khách hàng theo tiêu chuẩn tương đương;

- Giải pháp phát hiện tấn công giả mạo thông tin sinh trắc học của vật thể song (Presentation Attack Detection - PAD) theo quy định tại điểm a khoản này do đơn vị tự triển khai hoặc sử dụng của bên thứ ba cung cấp phải được cấp chứng nhận của tổ chức phòng thí nghiệm sinh trắc học được Liên minh FIDO (FIDO Alliance) công nhận;

- Trường hợp khách hàng xác nhận bằng hình thức khớp đúng thông tin sinh trắc học quá số lần sai liên tiếp do đơn vị quy định (nhưng không quá 10 lần): Khóa chức năng thực hiện xác nhận giao dịch bằng hình thức khớp đúng thông tin sinh trắc học, chỉ mở khóa khi khách hàng yêu cầu và phải kiểm tra khách hàng trước khi thực hiện, bảo đảm chống gian lận, giả mạo,

- Thời gian thực hiện khớp đúng thông tin sinh trắc học tối đa 03 phút

*Thông tư 50/2024/TT-NHNN có hiệu lực từ ngày 01/1/2025, ngoại trừ những trường hợp sau đây:

- Các điểm b khoản 1 Điều 4, điểm d khoản 9 Điều 7, khoản 3 và khoản 4 Điều 8 Thông tư 50/2024/TT-NHNN có hiệu lực thi hành kể từ ngày 01/7/2025.

- Các điểm b khoản 1 Điều 10 Thông tư 50/2024/TT-NHNN có hiệu lực thi hành kể từ ngày 01/1/2026.

- Các điểm c khoản 5 Điều 11, điểm c khoản 7 Điều 11, điểm b (iv) khoản 1 Điều 20 Thông tư 50/2024/TT-NHNN có hiệu lực thi hành kể từ ngày 01/7/2026.